شكلت طبقة 3 CTS مع مدخل عاكس
المحتويات
المقدمة
يصف هذا وثيقة كيف أن يشكل الطبقة 3 Cisco TrustSec (CTS) مع مدخل عاكس.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة الأساسية ال CTS حل.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- مادة حفازة 6500 مفتاح مع مشرف محرك 2T على IOS® إطلاق 15.0(01)SY
- مولد حركة مرور Ixia
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
CTS هو حل متطور للتحكم في الوصول إلى الشبكة والتحكم في الهوية لتوفير إمكانية اتصال آمنة شاملة عبر الشبكات الأساسية لمزودي الخدمة وشبكات مركز البيانات.
توفر محولات Catalyst 6500 ببطاقات الخط ذات Supervisor Engine 2T و 6900 Series دعم الأجهزة والبرامج الكامل من أجل تنفيذ CTS. عندما مادة حفازة 6500 يكون شكلت مع المشرف محرك 2T و 6900 sery خط بطاقة، النظام قادر تماما أن يزود CTS سمة.
بما أن العملاء يرغبون في الاستمرار في إستخدام محولات Catalyst 6500 وبطاقات الخطوط الموجودة بالفعل أثناء ترحيلهم إلى شبكة CTS، ولهذا السبب، يجب أن يكون Supervisor Engine 2T متوافقا مع بطاقات خطوط معينة موجودة بالفعل عند نشرها في شبكة CTS.
من أجل دعم وظائف CTS الجديدة مثل علامة مجموعة الأمان (SGT) وتشفير إرتباط IEEE 802.1AE MacSec، هناك دوائر مدمجة خاصة بالتطبيق (ASICs) تستخدم على Supervisor Engine 2T وبطاقات خطوط جديدة من السلسلة 6900. مدخل عاكس يزود أسلوب توافق بين القديم خط بطاقة أن لا يستعمل CTS. مدخل عاكس يساند أسلوب فقط مركزي forwarding، ربط forwarding يقع على ال PFC من مشرف محرك 2T. يتم دعم بطاقات الخط 6148 Series أو Fabric-enabled Central Forwarding Card (CFC) فقط، مثل بطاقات الخط 6748-GE-TX. لا يتم دعم بطاقات الخط Distributed Forwarding Card (DFC) وبطاقات الخط 10 Gigabit Ethernet Line Cards عند تمكين وضع العاكس للمدخل. مع تكوين وضع عاكس المدخل، لا يتم تشغيل بطاقات الخط غير المدعومة. مكنت مدخل عاكس أسلوب مع الإستعمالمن تشكيل أمر عام ويتطلب نظام reload.
التكوين
الرسم التخطيطي للشبكة
الخطوة 1. إعداد طبقة CTS3 على واجهة الخروج بين SW1 و SW2
-
SW1(config)#int t1/4/2 SW1(config-if)#ip address 172.16.0.1 255.255.255.0 SW1(config-if)# cts layer3 ipv4 trustsec forwarding SW1(config-if)# cts layer3 ipv4 policy SW1(config-if)#no shutdown SW1(config-if)#exit SW2(config)#int t1/2 SW2(config-if)#ip address 172.16.0.2 255.255.255.0 SW2(config-if)# cts layer3 ipv4 trustsec forwarding SW2(config-if)# cts layer3 ipv4 policy SW2(config-if)#no shutdown SW2(config-if)#exit
الخطوة 2. تمكين عاكس الدخول إلى CTS بشكل عام
SW1(config)#platform cts ingress SW1#sh platform cts CTS Ingress mode enabled
توصيل واجهة من بطاقة خط غير مدعومة ب CTS إلى IXIA.
SW1#sh run int gi2/4/1 Building configuration... Current configuration : 90 bytes ! interface GigabitEthernet2/4/1 no switchport ip address 10.10.10.1 255.255.255.0 end
قم بتعيين رقيب ساكن إستاتيكي في محول SW1 للحزم المستلمة من IXIA 1 المتصلة ب SW1. يسمح الإعداد بنهج تنفيذ CTS L3 فقط للحزم في الشبكة الفرعية المطلوبة على المصدق.
SW1(config)#cts role-based sgt-map 10.10.10.10 sgt 15 SW1(config)#ip access-list extended traffic_list SW1(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 any SW1(config)#cts policy layer3 ipv4 traffic traffic_list
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
دققت أن ال IFC-state مفتوح على كلا مفتاح. يجب أن تبدو المخرجات كما يلي:
SW1#sh cts int summary Global Dot1x feature is Enabled CTS Layer2 Interfaces --------------------- Interface Mode IFC-state dot1x-role peer-id IFC-cache Critical Authentication ----------------------------------------------------------------------------- Te1/4/1 DOT1X OPEN Supplic SW2 invalid Invalid Te1/4/4 MANUAL OPEN unknown unknown invalid Invalid Te1/4/5 DOT1X OPEN Authent SW2 invalid Invalid Te1/4/6 DOT1X OPEN Supplic SW2 invalid Invalid Te2/3/9 DOT1X OPEN Supplic SW2 invalid Invalid CTS Layer3 Interfaces --------------------- Interface IPv4 encap IPv6 encap IPv4 policy IPv6 policy Te1/4/2 OPEN ---------- OPEN ----------- SW2#sh cts int summary Global Dot1x feature is Enabled CTS Layer2 Interfaces --------------------- Interface Mode IFC-state dot1x-role peer-id IFC-cache Critical-Authentication ----------------------------------------------------------------------------- Te1/1 DOT1X OPEN Authent SW1 invalid Invalid Te1/4 MANUAL OPEN unknown unknown invalid Invalid Te1/5 DOT1X OPEN Supplic SW1 invalid Invalid Te1/6 DOT1X OPEN Authent SW1 invalid Invalid Te4/5 DOT1X OPEN Authent SW1 invalid Invalid CTS Layer3 Interfaces --------------------- Interface IPv4 encap IPv6 encap IPv4 policy IPv6 policy -------------------------------------------------------------------------- Te1/2 OPEN ---------- OPEN -----------
التحقق من خلال إخراج NetFlow
يمكن تكوين NetFlow باستخدام الأوامر التالية:
SW2(config)#flow record rec2 SW2(config-flow-record)#match ipv4 protocol SW2(config-flow-record)#match ipv4 source address SW2(config-flow-record)#match ipv4 destination address SW2(config-flow-record)#match transport source-port SW2(config-flow-record)#match transport destination-port SW2(config-flow-record)#match flow direction SW2(config-flow-record)#match flow cts source group-tag SW2(config-flow-record)#match flow cts destination group-tag SW2(config-flow-record)#collect routing forwarding-status SW2(config-flow-record)#collect counter bytes SW2(config-flow-record)#collect counter packets SW2(config-flow-record)#exit SW2(config)#flow monitor mon2 SW2(config-flow-monitor)#record rec2 SW2(config-flow-monitor)#exit
تطبيق NetFlow على منفذ الدخول لواجهة محول SW2 كما هو موضح:
SW2# sh run int t1/2 Building configuration... Current configuration : 166 bytes ! interface TenGigabitEthernet1/2 ip address 172.16.0.2 255.255.255.0 ip flow monitor mon2 input cts layer3 ipv4 trustsec forwarding cts layer3 ipv4 policy end
إرسال حزم من IXIA 1 إلى IXIA 2. يجب إستلامه بشكل صحيح على IXIA 2 المتصل بمحول SW2 وفقا لسياسة حركة المرور. تأكد من وضع علامات على الحزم.
SW2#sh flow monitor mon2 cache format table
Cache type: Normal
Cache size: 4096
Current entries: 0
High Watermark: 0
Flows added: 0
Flows aged: 0
- Active timeout ( 1800 secs) 0
- Inactive timeout ( 15 secs) 0
- Event aged 0
- Watermark aged 0
- Emergency aged 0
There are no cache entries to display.
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
There are no cache entries to display.
Module 4:
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
There are no cache entries to display.
Module 2:
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
There are no cache entries to display.
Module 1:
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 4
IPV4 SRC ADDR IPV4 DST ADDR TRNS SRC PORT TRNS DST PORT FLOW DIRN FLOW CTS SRC GROUP TAG FLOW CTS DST GROUP TAG IPPROT ip fwd status bytes pkts
=============== =============== ============= ============= ========= ====================== ====================== ======= ======================================== ==========
1.1.1.10 2.2.2.10 0 0 Input 10 0 255 Unknown 148121702 3220037
10.10.10.10 10.10.20.10 0 0 Input 15 0 255 Unknown 23726754 515799
10.10.10.1 224.0.0.5 0 0 Input 2 0 89 Unknown 9536 119
172.16.0.1 224.0.0.5 0 0 Input 0 0 89 Unknown 400 5
الآن، قم بإعداد سياسة الاستثناء لتخطي CTS L3 للحزم إلى عنوان IP محدد في محول المصدق.
SW1(config)#ip access-list extended exception_list SW1(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 any SW1(config)#cts policy layer3 ipv4 exception exception_list
SW2#sh flow monitor mon2 cache format table
Cache type: Normal
Cache size: 4096
Current entries: 0
High Watermark: 0
Flows added: 0
Flows aged: 0
- Active timeout ( 1800 secs) 0
- Inactive timeout ( 15 secs) 0
- Event aged 0
- Watermark aged 0
- Emergency aged 0
There are no cache entries to display.
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
There are no cache entries to display.
Module 4:
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
There are no cache entries to display.
Module 2:
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
There are no cache entries to display.
Module 1:
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 3
IPV4 SRC ADDR IPV4 DST ADDR TRNS SRC PORT TRNS DST PORT FLOW DIRN FLOW CTS SRC GROUP TAG FLOW CTS DST GROUP TAG IP PROT ip fwd status bytes pkts
=============== =============== ============= ============= ========= ====================== ====================== ======= ======================================== =========
1.1.1.10 2.2.2.10 0 0 Input 10 0 255 Unknown 1807478 39293
10.10.10.10 10.10.20.10 0 0 Input 0 0 255 Unknown 1807478 39293
10.10.10.1 224.0.0.5 0 0 Input 2 0 89 Unknown 164 2
إرسال حزم من IXIA 1 إلى IXIA 2. يجب استقبالها بشكل صحيح على IXIA 2 المتصلة بمحول SW2 وفقا لنهج الاستثناء.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
التعليقات